AWS::EC2::SecurityGroup Ingress - AWS CloudFormation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS::EC2::SecurityGroup Ingress

指定安全组的入站规则。入站规则允许实例从指定的 IPv4 或 IPv6 CIDR 地址范围接收流量,或从与指定安全组关联的实例接收流量。

您只能指定下列属性之一:CidrIpCidrIpv6SourcePrefixListIdSourceSecurityGroupIdSourceSecurityGroupName

EC2 安全组规则是 AWS::EC2::SecurityGroup 类型的嵌入式属性。

语法

要在 AWS CloudFormation 模板中声明此实体,请使用以下语法:

JSON

{ "CidrIp" : String, "CidrIpv6" : String, "Description" : String, "FromPort" : Integer, "IpProtocol" : String, "SourcePrefixListId" : String, "SourceSecurityGroupId" : String, "SourceSecurityGroupName" : String, "SourceSecurityGroupOwnerId" : String, "ToPort" : Integer }

YAML

CidrIp: String CidrIpv6: String Description: String FromPort: Integer IpProtocol: String SourcePrefixListId: String SourceSecurityGroupId: String SourceSecurityGroupName: String SourceSecurityGroupOwnerId: String ToPort: Integer

属性

CidrIp

采用 CIDR 格式指定的 IPv4 地址范围。

必需:否

类型:字符串

Update requires: No interruption

CidrIpv6

采用 CIDR 格式指定的 IPv6 地址范围。

必需:否

类型:字符串

Update requires: No interruption

Description

安全组规则的描述。

约束:最多 255 个字符。允许的字符包括 a-z、A-Z、0-9、空格和 ._-:/()#,@[]+=;{}!$*

必需:否

类型:字符串

Update requires: No interruption

FromPort

TCP 和 UDP 协议端口范围的起始端口,或者某个 ICMP/ICMPv6 类型编号。值 -1 指示所有 ICMP/ICMPv6 类型。如果您指定所有 ICMP/ICMPv6 类型,则必须指定所有代码。

必需:否

类型:整数

Update requires: No interruption

IpProtocol

IP 协议名称(tcpudpicmpicmpv6)或编号(请参阅协议编号)。

[仅限 VPC] 使用 -1 可指定所有协议。当授权安全组规则时,指定 -1tcpudpicmpicmpv6 意外的协议编号将允许所有端口上的流量,无论您指定的端口范围如何。对于 tcpudpicmp,您必须指定端口范围。对于 icmpv6,端口范围是可选的;如果您省略端口范围,则将允许所有类型和代码的流量。

必需:是

类型:字符串

Update requires: No interruption

SourcePrefixListId

[仅限 EC2-VPC] AWS 服务的前缀列表 ID。这是您要通过 VPC 终端节点从与安全组关联的实例访问的 AWS 服务。

必需:否

类型:字符串

Update requires: No interruption

SourceSecurityGroupId

安全组 ID.您必须在请求中指定安全组 ID 或安全组名称。对于非默认 VPC 中的安全组,必须指定安全组 ID。

必需:否

类型:字符串

Update requires: No interruption

SourceSecurityGroupName

[EC2-Classic、默认 VPC] 源安全组的名称。您不能将此参数与以下参数组合指定:CIDR IP 地址范围、IP 协议、端口范围的开始和结束端口。创建授予完整的 ICMP、UDP 和 TCP 访问权限的规则。要创建使用特定的 IP 协议和端口范围的规则,请改为使用一组 IP 权限。对于 EC2-VPC,源安全组必须位于同一个 VPC 中。

必需:否

类型:字符串

Update requires: No interruption

SourceSecurityGroupOwnerId

[非默认 VPC] 源安全组的 AWS 账户 ID,如果源安全组位于不同的账户。您不能将此参数与以下参数组合指定:CIDR IP 地址范围、IP 协议、端口范围的开始和结束端口。创建授予完整的 ICMP、UDP 和 TCP 访问权限的规则。

如果已指定 SourceSecurityGroupNameSourceSecurityGroupId,并且该安全组的所有者账户并非创建堆栈的账户,则必须指定 SourceSecurityGroupOwnerId;否则,可根据需要选择是否指定此属性。

必需:条件

类型:字符串

Update requires: No interruption

ToPort

TCP 和 UDP 协议端口范围的终止端口,或者某个 ICMP/ICMPv6 代码。值 -1 指示所有 ICMP/ICMPv6 代码。如果您指定所有 ICMP/ICMPv6 类型,则必须指定所有代码。

必需:否

类型:整数

Update requires: No interruption